Azure Firewall Policy-regelsets
Firewallbeleid is een resource op het hoogste niveau die beveiligings- en operationele instellingen voor Azure Firewall bevat. U kunt firewallbeleid gebruiken om regelsets te beheren die door de Azure Firewall worden gebruikt om verkeer te filteren. Firewallbeleid organiseert, prioriteert en verwerkt de regelsets op basis van een hiërarchie met de volgende onderdelen: regelverzamelingsgroepen, regelverzamelingen en regels.
Regelverzamelingsgroepen
Een regelverzamelingsgroep wordt gebruikt om regelverzamelingen te groeperen. Ze zijn de eerste eenheid die door de firewall wordt verwerkt en ze volgen een prioriteitsvolgorde op basis van waarden. Er zijn drie standaardgroepen voor regelverzamelingen en hun prioriteitswaarden zijn standaard ingesteld. Ze worden in de volgende volgorde verwerkt:
| Naam van regelverzamelingsgroep | Prioriteit |
|---|---|
| Standaard-DNAT-regelverzamelingsgroep (Doelnetwerkadresomzetting) | 100 |
| Standaardgroep netwerkregelverzameling | 200 |
| Verzamelingsgroep standaardtoepassingsregel | 300 |
Hoewel u de standaardgroepen voor regelverzamelingen niet kunt verwijderen of hun prioriteitswaarden kunt wijzigen, kunt u de verwerkingsvolgorde op een andere manier bewerken. Als u een andere prioriteitsvolgorde moet definiëren dan het standaardontwerp, kunt u aangepaste regelverzamelingsgroepen maken met de gewenste prioriteitswaarden. In dit scenario gebruikt u helemaal niet de standaardgroepen voor regelverzamelingen en gebruikt u alleen de groepen die u maakt om de verwerkingslogica aan te passen.
Regelverzamelingsgroepen bevatten een of meerdere regelverzamelingen, die van het type DNAT, het netwerk of de toepassing kunnen zijn. U kunt bijvoorbeeld regels groeperen die behoren tot dezelfde werkbelastingen of een virtuele groep in een regelverzamelingsgroep.
Zie limieten, quota en beperkingen voor azure-abonnementen en -services voor limieten voor regelverzamelingen.
Regelverzamelingen
Een regelverzameling behoort tot een regelverzamelingsgroep en bevat een of meer regels. Ze zijn de tweede eenheid die door de firewall wordt verwerkt en ze volgen een prioriteitsvolgorde op basis van waarden. Regelverzamelingen moeten een gedefinieerde actie (toestaan of weigeren) en een prioriteitswaarde hebben. De gedefinieerde actie is van toepassing op alle regels in de regelverzameling. De prioriteitswaarde bepaalt de volgorde van de regelverzamelingen worden verwerkt.
Er zijn drie typen regelverzamelingen:
- DNAT
- Netwerk
- Toepassing
Regeltypen moeten overeenkomen met de categorie van de bovenliggende regelverzameling. Een DNAT-regel kan bijvoorbeeld alleen deel uitmaken van een DNAT-regelverzameling.
Regels
Een regel behoort tot een regelverzameling en geeft aan welk verkeer in uw netwerk is toegestaan of geweigerd. Dit is de derde eenheid die door de firewall wordt verwerkt en die geen prioriteitsvolgorde volgt op basis van waarden. De verwerkingslogica voor regels volgt een top-down benadering. De firewall maakt gebruik van gedefinieerde regels om al het verkeer te evalueren dat via de firewall wordt doorgegeven om te bepalen of deze overeenkomt met een voorwaarde voor toestaan of weigeren. Als er geen regel is die het verkeer toestaat, wordt het verkeer standaard geweigerd.
Onze ingebouwde infrastructuurregelverzameling verwerkt verkeer voor toepassingsregels voordat deze standaard wordt geweigerd.
Inkomend versus uitgaand
Een firewallregel voor inkomend verkeer beschermt uw netwerk tegen bedreigingen die afkomstig zijn van buiten uw netwerk (verkeer dat afkomstig is van internet) en probeert uw netwerk in te filteren.
Een uitgaande firewallregel beschermt tegen kwaadwillend verkeer dat intern afkomstig is (verkeer dat afkomstig is van een privé-IP-adres binnen Azure) en naar buiten reist. Dit is meestal verkeer vanuit Azure-resources dat wordt omgeleid via de firewall voordat u een bestemming bereikt.
Regeltypen
Er zijn drie soorten regels:
- DNAT
- Netwerk
- Toepassing
DNAT-regels
DNAT-regels staan binnenkomend verkeer toe of weigeren via een of meer openbare IP-adressen van de firewall. U kunt een DNAT-regel gebruiken wanneer u wilt dat een openbaar IP-adres wordt omgezet in een privé-IP-adres. De openbare IP-adressen van Azure Firewall kunnen worden gebruikt om te luisteren naar inkomend verkeer van internet, het verkeer te filteren en dit verkeer te vertalen naar interne resources in Azure.
Netwerkregels
Netwerkregels staan binnenkomend, uitgaand en oost-westverkeer toe of weigeren op basis van de netwerklaag (L3) en transportlaag (L4).
U kunt een netwerkregel gebruiken als u verkeer wilt filteren op basis van IP-adressen, poorten en protocollen.
Toepassingsregels
Toepassingsregels staan uitgaand en oost-westverkeer toe of weigeren op basis van de toepassingslaag (L7). U kunt een toepassingsregel gebruiken als u verkeer wilt filteren op basis van FQDN's (Fully Qualified Domain Names), URL's en HTTP/HTTPS-protocollen.
Volgende stappen
- Meer informatie over de verwerking van Azure Firewall-regels: Azure Firewall-regels configureren.